rootkit后门检测工具

2020-01-01 0 条评论 455 次阅读 0 人点赞

rootkit是linux平台下最常见的一种木马后门工具,主要通过替换系统文件来达到入侵和隐藏的目的,所以普通的检查手段很难发现这种木马。

rootkit主要有两种类型

  • 文件级别rootkit

文件级别rootkit一般是通过程序漏洞或者系统漏洞进入系统后修改系统重要文件来获取系统的控制权以及隐藏自己,通常容易被替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等

目前最有效的抵御方法是定期对系统重要文件的完整性进行检查,如果发现文件被修改或者替换,很可能系统已经遭受了rootkit入侵

  • 内核级别的rootkit

内核级别的rootkit主要依附在内核上,它不对系统文件做任何修改,通过植入内核获得对系统底层的完全控制权,截获运行程序向内核提交的命令,将其重定向到入侵者选择的程序并运行。

针对内核级的rootkit还没有很好的防御工具,将系统维持在最小权限内工作,只要攻击者不能获取root权限,就无法在内核中植入rootkit

检测工具chkrootkit

chkrootkit没有包含在官方的centos源中,需要手动编译的方式安装,使用方法比较简单,直接执行就可以自动检测系统

缺点是检查rootkit的过程中使用部分系统命令,如果以来的系统命令被替换了,那检测结果就不可信,解决方法是将依赖的“awk、cut、echo、find、egrep、id、head、ls、netstat、ps、strings、sed、uname”进行打包备份,检测时先上传事先备份的命令程序,-p选项调用然后检测就可以了

检测工具RKHunter

rkhunter是一款功能比较强大且简单的检测工具,下载安装包后,执行安装脚本,使用选项"--layout default --install"进行安装,安装后位于/usr/local/bin目录下,运行rkhunter命令使用“-c"选项即可自动进行检测,检测有五个部分的内容:

  1. 对系统命令进行检查,主要是二进制文件
  2. 检测是否存在常见的rootkit程序
  3. 进行一些特殊或附加的检测,如对rootkit文件或目录的检测,以及对内核模块的检测
  4. 对网络、系统端口、系统启动文件、系统用户和组配置、ssh配置、文件系统等进行检测
  5. 对应用程序版本进行检测
  6. 对上面输出的一个总结

rkhunter可以使用crond定时执行

once

这个人太懒什么东西都没留下

文章评论(0)